„Hacken ist nicht so schnell, wie es in Filmen vermittelt wird“
Die Austria Cyber Security Challenge hat zum Ziel, Nachwuchs-Talente im Bereich IT-Sicherheit zu finden und zu fördern. Heuer feiert sie ihr 10-jähriges Bestehen.
Wie gefragt und wichtig diese Nachwuchs-Talente sind, weiß Edgar Weippl. Er ist Mitgründer von SBA Research, einem IT-Security-Forschungszentrum, zu dem ua. die TU Wien, TU Graz, Uni Wien und das AIT gehören. Weippl hat zudem die Professur an der Universität Wien in der Forschungsgruppe „Security und Privacy“.
Mit der futurezone sprach er über das Zurückerobern verlorener Privatsphäre und das Absichern von Industriesystemen, gegen das gezielte Einschleusen von Schwachstellen in der Entwicklungsphase.
Was ist aus Ihrer Sicht das Besondere an der ACSC?
Die ACSC bietet Schüler*innen eine Möglichkeit das Thema Cybersecurity praxisnah und legal zu erleben. Vor der ACSC war für viele die erste Möglichkeit solche Übungsszenarien zu erleben während des Studiums. Diese frühe Erfahrung macht natürlich auch Lust auf ein Informatikstudium mit Schwerpunkt Security.
Coachen sie Studierende der Uni Wien, die an der ACSC teilnehmen?
An der Uni Wien arbeiten wir mit dem Forschungszentrum SBA Research zusammen und Georg Merzdovnik betreut sehr intensiv das gemeinsame CtF-Team We_0wn_Y0u.
Was müssen Studierende leisten, um in die Forschungsgruppe Security und Privacy zu kommen?
Die Lehrveranstaltungen stehen natürlich allen Informatikstudierenden der Uni Wien offen. Um bei uns in Forschungsprojekten zu arbeiten, muss man Spaß an technischen Details haben und ausdauernd an Problemen arbeiten können, denn hacken ist leider nicht so schnell wie es in Filmen oft vermittelt wird.
Was sind für Sie die derzeit spannendsten Projekte?
Das größte und spannendste Projekt ist natürlich die langjährige Kooperation mit SBA Research. Ein sehr interessantes und neues Thema beschäftigt uns in unserem „Christian-Doppler-Labor für die Verbesserung von Sicherheit und Qualität in Produktionssystemen“ (SQI). Da geht es darum zu verhindern, dass Angreifer im Entwicklungsprozess von Industriesystemen Schwachstellen einbauen, die sie dann später, wenn die Anlage gebaut und in Betrieb genommen ist, ausnützen können.
Als aktueller Schwerpunkt wird auf der Website der Forschungsgruppe Security und Privacy Blockchains genannt. Können Sie das konkretisieren?
Wir beschäftigen uns hier mit 2 unterschiedlichen Aspekten: Erstens, Angriffe auf allen Ebenen, d.h. zB. „ganz unten“ auf Netzwerkebene, aber auch „ganz oben“, wo es um die Incentive-Mechanismen, sprich die Bezahlung von Minern, geht. Zweitens erforschen wir theoretische Grundlagen, die in Zukunft ganz zentral für Kryptowährungen werden, wie zB. das Erzeugen von Zufallszahlen in verteilten Systemen. Klingt jetzt nicht so spannend, ist aber ein herausforderndes Thema, das ganz wesentlich für verschiedene Security-Garantien ist.
Sind Deep Fakes, bzw. das Erkennen dieser, Teil der Forschungen?
Die Echtheit, sprich Integrität, von Information sicherzustellen, ist eine der Grundanforderungen im Bereich der Sicherheit. Deep Fakes sind aktuell ein Thema, das sehr stark im Bereich der Signalverarbeitung bearbeitet wird, aber wir haben hier schon erste Ideen, wie das Wissen aus Systems Security sinnvoll eingebracht werden kann. Ich glaube, wir werden da in Zukunft spannende Projekte sehen.
Da die Angriffe auf kritische Infrastruktur, wie etwa Kraftwerke und Umspannwerke, zunehmen: Wird das speziell behandelt?
Im CD-Labor SQI arbeiten wir an der Absicherung des Entwicklungsprozesses großer Industrieanlagen, d.h. die Forschungsergebnisse werden auch die Kraft- und Umspannwerke der Zukunft sicherer machen. Das Thema ist eine besondere Herausforderung, weil die Lebenszyklen der Systeme in dieser Industrie besonders lange sind - etwa im Vergleich zu Mobiltelefonen.
Welche weiteren IT-Security-Themen sehen Sie aufkommen, die zukünftig „groß“ werden könnten?
Wir werden IT-Security in allen Bereichen der Digitalisierung immer stärker sehen. Die Integrität von Information ist meines Erachtens die größte Herausforderung der Zukunft, die bereits angesprochenen Deep Fakes sind ein Beispiel dafür. Wenn unser Leben immer digitaler wird, dann müssen wir auch unsere Privatsphäre besser schützen. Das Zurückerobern verlorener Privatsphäre ist ungleich schwieriger als mit einem guten Schutz zu beginnen. Selbst hier sehen wir, dass viele gute Initiativen, die vorwiegend aus Europa kommen, große Schwierigkeiten haben, sich wirklich global durchzusetzen.
Gibt es ein Wunschprojekt, das Sie gerne umsetzen würden?
Ein langfristiger Forschungswunsch ist es, auf die Entwicklung neuer Systeme so Einfluss nehmen zu können, dass wir nicht ähnliche Fehler machen, wie wir sie seit Jahrzehnten machen. Wir entwickeln immer größere Systeme, die zunehmend vernetzt sind, ohne die Wirkketten und Abhängigkeiten zu verstehen. Das Ablösen bestehender komplexer Systeme ist nahezu unmöglich. Mein Wunschprojekt ist, dieses Problem gemeinsam mit Firmenpartnern angehen zu können. Zufälligerweise haben wir zu dem Thema vor kurzem einen großen Forschungsantrag abgegeben.
Dieser Artikel entstand im Rahmen einer Kooperation zwischen futurezone und Cyber Security Austria.